Der Chaos Computer Club Aachen hat sich die MeldeApp Eifel genauer angesehen.
Dabei handlet es sich um eine von der Städteregion Aachen beworbene Alterntive zur Luca-App
zum Zweck der Kontakerfassung und Terminbuchung in Gastronomie und Einzelhandel.
Wir fanden verschiedene Sicherheitslücken, unter anderem Cross-Stite Scripting, die Möglichkeit fremde Termine abzurufen, sowie eine .csv injection die es erlaubte, Kontakt- und Aufenthaltsdaten anderer Personen auszulesen. Potentiell ist darüber auch ein Kopromittierung des Computers möglich, auf dem die exportierte Kontaktliste geöffnet wird.
Zudem hat die MeldeApp Eifel aus unserer Sicht konzeptionelle Probleme, da die Daten unzureichend verschlüsselt sind und es sich um ein zentrales System handelt, das die Erstellung von Bewegungs- und Kontaktprofilen ermöglicht.
Damit verstößt die MeldeApp Eifel gegen diverse Prüfsteine des CCC zur Beuerteilung von contact tracing Programmen.
Eine ausführlicher Bericht findet sich hier: MeldeApp Eifel